Modelo de Sistema de Gestión de Seguridad de XVII Jornada
Internacional de Seguridad Informática. Información. Caso: Universidad Nacional Agraria Bogotá, Colombia. 2017
de la Selva
Marchand, William., Bernuy, Walter | william.marchand,walter.bernuy@unas.edu.pe| Universidad Nacional Agraria de la Selva
Problema Resultados - Modelo propuesto
¿Cómo debe ser el modelo de Sistema de
Gestión de la Seguridad de la Información (SGSI) para la Universidad Nacional Agraria de la Selva?
Objetivo
Diseñar un modelo de Sistema de Gestión de
la Seguridad de la Información (SGSI) basado en la Norma Técnica Peruana NTP ISO/IEC 27001:2014 y la inclusión de la cultura de seguridad de la información.
Resumen
La Universidad Nacional Agraria de la Selva atraviesa
actualmente un periodo de cambios normativos y procesos de licenciamiento y acreditación institucional pero que lamentablemente, aspectos como, las Tecnologías de la Información, Planeamiento Estratégico de TI, Gestión de Implementación incremental Conclusiones Proyectos, Seguridad de la Información, no son considerados en su real valor. Análisis de riesgos Precisamente uno de los aspectos más importantes es la • Los activos de información se identificaron considerando seguridad, principalmente referida a la información, quizá los procesos de la institución (procesos primarios, de la más relegada en su tratamiento. soporte y estratégicos), clasificándose en tres grupos, cuyo análisis de riesgos evidencia que las amenazas Aunque el gobierno peruano exige a las entidades derivadas de la negligencia o impericia de usuarios y públicas, mediante Resolución Ministerial N.º 129-2012- decisiones institucionales están consideradas como alto PCM, el uso de la Norma Técnica Peruana ISO/IEC riesgo. 27001:2008 (actualizado recientemente a la NTP-ISO/IEC 27001:2014); aún existen varias entidades, como el caso • La declaración de aplicabilidad de la NTP ISO/IEC de la UNAS, que prácticamente tienen muy poco o nada 27001:2014, verifica el estado de los objetivos de control, implementado para cumplir con la normativa. y los posibles a aplicar en la institución. La norma es obligatoria para las instituciones públicas, sin embargo, Pero no solo se trata de cumplir con la norma formalmente, su aplicación depende en parte, del grado de madurez lo importante es definir cómo debe ser el Sistema de de cultura de seguridad de información, que es el Gestión de la Seguridad de la Información (SGSI) que elemento diferenciador del modelo planteado, y esta encaje con las necesidades y realidad de la institución, cultura está relacionada con la principal fuente de incluyendo la cultura organizacional de seguridad. Este amenazas y riesgos. trabajo de investigación se ha desarrollado un modelo de SGSI para la UNAS considerando los principales activos, • En función a los procesos, activos y a la NTP ISO/IEC Se realizaron las siguientes actividades: 27001:2014 se formula un modelo del SGSI que riesgos, procesos y roles de acuerdo a la NTP ISO/IEC 27001:2014, además de incluir el factor de la cultura de • Identificación de activos de información. involucra roles que deben formalizarse como, el Comité seguridad de la información, como aspecto clave con • Análisis de riesgos. de gestión del SGSI, el Oficial de seguridad, el sustento teórico. responsable de la seguridad informática y responsable • Declaración de aplicabilidad de la NTP ISO/IEC de seguridad física que pueden recaer en actuales El alcance del trabajo abarca hasta la fase 2 de la 27001:2014 funcionarios. El nivel de cumplimiento se ha metodología de referencia de implementación de la NTP • Definicion de roles incrementado. 27001:2014. • Plan de capacitación y concienciación para usuarios finales. • Resolución N.º 439-2017-R-UNAS que aprueba plan de Principales referencias bibliográficas Variables implementación del Sistema de Gestión seguridad de Información • INDECOPI, Norma Técnica Peruana - NTP ISO/IEC 27001:2014, Lima, Lima: CNB-INDECOPI, 2014. Limitaciones y retos • A. Mariño Obregón, Factores inhibidores en la implementación de sistemas de gestión de la seguridad de Variable independiente Variable dependiente la información basado en la NTP-ISO/IEC 17799 en la • Recursos insuficientes que provee el Estado, administración pública., Lima: UNMSM, 2010. • M. Avila Arzuza, «Implantación de un Sistema de Gestión Modelo de Gestión de Nivel de cumplimiento • Débil concienciación de la alta dirección, funcionarios, de Seguridad de la Información,» Universitat Autonoma de Seguridad de la del Sistema de Gestión docentes y estudiantes respecto a la seguridad de la Información de Seguridad de la Barcelona, Barcelona, 2012. información. Información • S. J. Ross, Creating a Culture of Security, USA: ISACA, • Formular programas de concienciación y entrenamiento 2011. para la comunidad universitaria, asumiendo que el principal factor de fuentes de amenazas es el usuario. • K. Peterson, «The Relationship Between Corporate Security and Information Technology Professionals,» de • Retos: cambio de cultura de seguridad de información, y Security Supervision and Management: Theory and la implementación del modelo al 100%. Practice of Asset Protection: Fourth Edition, Elsevier Inc, 2015, pp. 569-579.